Sie können die empfohlenen Regeln für Netzwerkrichtlinien im Zusammenhang mit Kubernetes-Objekten in das YAML-Format exportieren. vRealize Network Insight unterstützt nur das Exportieren in das YAML-Format für die Gruppe nach Namespace und das Gruppieren nach Diensttopologien.

Prozedur

  1. Um die empfohlenen Regeln in das YAML-Format zu exportieren, wählen Sie im Sicherheitsplanungsmodell den Kubernetes-Cluster aus, für den Sie die Sicherheit planen möchten, und führen einen der folgenden Schritte aus.
    • Erweitern Sie weitere Optionen im Widget „Mikrosegmente“ und wählen Sie Regeln als YAML exportieren aus.
    • Wählen Sie einen Knoten in der Donut-Ansicht des Mikrosegments aus, klicken Sie auf die Anzahl der empfohlenen Firewallregeln, erweitern Sie weitere Optionen und klicken Sie auf Regeln als YAML exportieren.
    vRealize Network Insight lädt eine ZIP-Datei mit dem Namen „Kubernetes-Netzwerkrichtlinien“ und einen zugehörigen Zeitstempel herunter. Wenn Sie die Datei entpacken, sehen Sie die folgenden fünf CSV-Dateien und auch mehrere Ordner, je nach der Anzahl der Cluster. Jeder Ordner enthält mehrere YAML-Dateien für den Cluster.
    Dateiname Beschreibung
    network-policy-others-ipaddress.csv Enthält die IP-Adressen der physischen Server und der virtuellen Maschine, mit denen die Dienste oder Namespaces kommunizieren.
    recommended-namespace-labels-to-add.csv Enthält die Bezeichnungen, die an die dem Namespace zugeordneten Pods angehängt werden sollen.

    Beispiel:

    • Cluster – pdk8s
    • Namespace – sock-shop
    • Bezeichnung – sock-shop-pdk8s
    recommended-service-labels-to-add.csv Enthält die Bezeichnungen, die an die dem Dienst zugeordneten Pods angehängt werden sollen.

    Beispiel:

    • Cluster – pdk8s
    • Namespace – sock-shop
    • Dienst – front-end
    • Bezeichnung – Service:front-sock-shop-pdk8s
    • Cluster – pdk8s
    • Namespace – sock-shop
    • Dienst – user
    • Bezeichnung – Service:user-sock-shop
    recommended-network-policy.csv Enthält alle von vRealize Network Insight empfohlenen Regeln.
    exported-network-policy-rule-names.csv Listet alle auf der Basis der empfohlenen Regeln exportierten Netzwerkrichtlinien auf.
  2. Führen Sie die folgenden Schritte aus, um die Dienstbezeichnungen anzuwenden:
    1. Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
      kubectl edit deployment service-name -n namespace-name
      kubectl edit deployment redis-primary -n guestbook
      Die Bereitstellungsdatei des Diensts wird geöffnet.
    2. Hängen Sie in der Liste der Dienstbezeichnungen die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnitt mit den Spezifikationen der Dienstbereitstellung aufgeführt sind.
  3. Führen Sie die folgenden Schritte aus, um die Namespace-Bezeichnungen anzuwenden:
    1. Führen Sie den folgenden Kubernetes-CLI-Befehl aus.
      kubectl edit namespace namespace-name
      kubectl edit namespace guestbook
      Die Bereitstellungsdatei des Namespace wird geöffnet.
    2. Hängen Sie in den Metadaten die in der CSV-Datei vorgeschlagene Bezeichnung an die Bezeichnungen an, die im Abschnitt spec der Namespace-Bereitstellung aufgeführt sind.
  4. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Bezeichnungen auf die Pods angewendet werden.
    kubectl get pods -n namespace-name--show-labels
    kubectl get pods guestbook--show-labels
    Sehen Sie sich die Bezeichnungen in der Ergebnisansicht an.
    Hinweis: Bei der Anwendung auf Namespace werden die Bezeichnungen nicht auf Pods reflektiert.
  5. Kopieren Sie zum Erstellen der Netzwerkrichtlinien die YAML-Dateien aus dem jeweiligen Cluster-Ordner in einen anderen Ordner und führen Sie einen der folgenden Befehle aus:
    • kubectl apply -f <folder-name>/ – Alle Firewallregeln werden zusammen angewendet.
    • kubectl apply -f <folder-name>/<firewall-rule>.yaml – Firewallregeln werden nacheinander angewendet.